2014. 04. 04. 금요일

물뚝심송

참으로 골 때리는 일이 발생했다.

IT 분야에서 새로운 상품이 등장하면 사회가 바뀌는 경우가 있다. 물론 사회적으로 의미가 있는 수준의 히트를 친 상품에 해당하는 경우이긴 하지만, 그만큼 IT 관련 산업에서 만들어낸 제품들이 우리 실생활과 밀접한 관계가 있다는 증거일 수 있겠다.

대표적으로 아이폰이 그랬다. mp3 플레이어에 불과했던 기존의 아이팟 최신 기종에다가 전화 기능을 넣더니, 인터넷 사용이 가능한 컴퓨터의 역할까지 하게 만들었던 아이폰은 등장한지 몇 년이 안되어 세상을 지배하기 시작했다. 애플의 아이폰은 옴니아 같은 세상 천지에 쓸 곳이 없어 보였던 쓰레기 같은 상품이나 만들어서 유명 연예인을 동원한 광고나 때리던 국내 모바일 업계까지 완전히 변화시켰다.

그렇게 새로운 상품이 등장하면서 사회가 변화, 발전하는 것은 그렇다 치자. 도대체 어떻게 되어 먹은 사회이길래 14년 전에 만들어진, 역사 속으로 사라졌어도 진작에 사라졌어야 하는 OS 하나에 대해 더 이상의 기술 지원을 하지 않겠다는 메이커의 발표만으로 사회가 들썩거리고 정부기관이 나서서 대안을 마련하고 있다고 발표하는 정도로 시끄러워지는가 말이다. 상품이 하나 사라진다고 해서 이렇게 시끄러워지는 사회는 처음 봤다.

참으로 골 때리면서도 쪽 팔리는 일이라고 하지 아니할 도리가 없다.

어찌되었거나 마이크로소프트의 윈도우 XP는 이제 역사 속으로 사라지려고 하고 있다. 그 덕분에 우리 사회는 시끌벅적해지고 있다. 뭐 어떤 일이든 제아무리 심각해 보이는 일이라 하더라도 닥치면 다 땜빵하기 마련이다. 윈도우 XP 기술지원 중단 사태도 결국 대충 대충 때려 막고 넘어가게 될 것이다. 별 것 아닌 일일 수도 있다. 하지만 뭔가 켕기기는 한다. 도대체 왜 그런지나 알고 넘어가기로 하자. 그래서 짧은 시리즈를 하나 준비했다. 

굿바이 XP.

이 글은 그 시리즈의 첫 번째 글로, 가장 많은 분들이 해 주셨던 질문, 과연 앞으로도 윈도우 XP를 계속 써도 되는가 하는 질문에 대한 답변이 되겠다.

본 시리즈의 내용은 딴지 라디오의 <그것은 알기싫다>에 함께 다루어질 것임을 미리 알려두는 바이다. 긴 글 읽기 싫어하시는 분들은 해당 팟캐스트를 참고하시길 권한다.

윈도우 XP를 계속 써도 되는가?

답부터 말하자. 쓰면 안 된다. 절대 안 된다.

물론 계속 쓰고 싶어서 쓴다고 해서 누가 몽둥이 들고 쫓아가거나 저작권법 위반 같은 걸로 제소해서 거액의 벌금을 물리지는 않는다. 쓰고 싶으면 계속 써도 된다. 그러나 최소한 인터넷에 연결된 피씨에서 계속 쓰면 안 된다. 쉽게 말해서 그건 민폐 끼치는 행동이 되기 때문이다.

이 문제는 사실 소프트웨어의 본질적인 문제와 인터넷이 결합하여 만들어낸 결과이다. 모든 소프트웨어는 절대 완벽하지 않다. 아무리 좋은 소프트웨어도 비교적 완성도가 높을 뿐이지 완벽한 것은 존재하지 않는다. 그렇게 만들 수가 없다. 즉, 소프트웨어는 결코 완성되지 않는다. 아무리 수정에 개선을 거듭해도 어딘가에 문제는 남아 있다. 다만 사용자도 개발자도 아직 그 문제를 모를 뿐이다.

그런데 이런 문제만 죽어라고 찾아내는 친구들이 있다. 특히 거기에 돈과 권력이 개입되어 있다면 밤을 새서라도 찾아낸다. 전 세계적으로 사용자의 숫자가 엄청난 윈도우 XP 같은 것은 아주 적절한 타겟이 된다. 심지어 그런 문제점을 찾아주는 소프트웨어까지 존재한다. 그런데 그 소프트웨어가 맡은 역할이 그냥 그림을 그리거나, 글을 쓰거나, 뭔가를 하는 단순한 소프트웨어라면 문제가 좀 작은데, OS라면 차원이 달라진다.

OS는 본질적으로 복잡할 수 밖에 없다. 이 복잡한 OS에는 수많은 논리적인 문제가 내포되어 있고, 아무리 좋은 OS라 해도 어딘가에 헛점은 계속 남아 있기 마련이다. 그런데 꽤 긴 시간이 흐르면 그 문제점들도 어지간히 고쳐져서 안정되는 거 아닐까?

예를 들어 BOD(Blue Screen of Death, 죽음의 블루스크린) 문제 같은 것은 XP에 와서는 거의 해결되었다며? 그럼 그냥 계속 써도 되는 거 아닌가?

아니다. 이런 근본적인 불안정성에 인터넷이 연결되면 문제의 차원이 달라지는 거다. 요즘 피씨 중에 인터넷에 연결이 안 되어 있는 피씨는 찾아 보기 힘들다. 만약 당신이 인터넷에 연결하지 않고 피씨를 사용하고 있다면 윈도우 XP 아니라 더한 것을 써도 아무 문제 없다. 그냥 당신만 잘 쓰면 된다. 그런 피씨는 그냥 탁상용 계산기하고 다를 바가 없다. 안전하다.

하지만 인터넷에 연결되어 있다면 당신의 피씨는 다른 사람을 해칠 수도 있는 흉기가 되며, 범죄행위에 이용될 수 있는 도구가 된다.

흔한 바이러스의 문제를 얘기하는 것이 아니다. 백도어, 좀비 피씨 이런 용어들을 들어본 적이 있을 것이다. 대략 인터넷을 통해 당신의 피씨에 접근해서 뭔가를 심어 두게 되면 이 피씨의 주인은 겉으로 보기에는 당신이지만 사실상 저 지구 반대편 어딘가에 있는 해커가 당신의 피씨를 소유하게 된다. 당신에게 주어진 권한은 피씨의 전원을 켜고 끄는 것 정도뿐이게 된다. 물론 전원 케이블을 완전히 빼 놓으면, 즉 콘센트를 빼 놓았다면 힘들겠지만 요즘 피씨 끄면서 콘센트 뽑는 사람이 누가 있겠는가? 케이블만 연결되어 있다면 어지간한 피씨는 원격으로 전원도 켤 수 있다. 이런 짓 하는 것을 설정으로 막을 수 있게 되어 있지만 다들 그런 거 신경도 안 쓰지 않는가? 아니 그런 기능이 있다는 것 조차 모르는 사용자들이 태반이다.

단지 원격에서 너무 티나게 조정하면 사용자가 이상을 눈치채고 조치를 취할까봐 그런 짓은 잘 안 하는 것뿐이다. 그저 켜 있는 동안 뭔가 뒤로 소소한 짓을 할 뿐이다. 이렇게 지배권을 빼앗겨 버린 피씨들을 흔히 '좀비 피씨'라 부른다.

어떤 과정을 통해 이런 좀비피씨가 만들어 진단 말인가? 바로 '보안 홀' 문제이다. 앞서 얘기한 OS라는 소프트웨어의 헛점, 그 중에서도 가장 심각한 문제를 일으키는 문제점들이 바로 이 보안 홀과 관련해서 만들어지게 된다.

인터넷 상에 접속된 피씨는 외부 인터넷으로부터 끊임없이 어떤 신호를 받을 수 있는 상태다. 그 신호들의 대부분은 내가 원해서 받는 신호이다. 그냥 아무 생각 없이 인터넷을 쓸 때 그런 작업이 진행된다. 그러나 이런 기능을 이용하여 역으로 교묘하게 숨겨진 신호를 보낼 수 있다. 그런 신호들 중 상당수는 OS와 백신, 더 정확히 말하자면 각 피씨에 설치된 방화벽, 파이어월, 인터넷 가드 등에 의해 걸러진다. 그런데 만약 OS에 결함이 있어서, 특정한 신호는 걸러내지 못하게 된다면? 방화벽도 걸러내지 못하는 교묘한 신호가 있다면? 원격에서 이 피씨를 공격해서 지배권을 획득할 수가 있게 된다.

이런 결함을 '보안 홀' 이라고 한다. 이런 보안홀이 없는 OS는 없다. 보안 홀이 아직 발견되지 않았을 뿐이지 무한히 존재한다. 모든 OS가 그렇다. 안전한 OS는 없다. 다만 이런 보안 홀이 발견되었을 때, 재빠르게 OS를 수정해서 없애주는, 적응력이 강한 OS가 있을 뿐이다.

즉 한 쪽에서는 계속 이런 보안 홀을 찾고 있고, OS를 만들어낸 쪽에서는 계속 발견된 보안 홀을 막고 있고, 이 경쟁이 지속되면서 균형을 잡고 있는 것이다. 사용자가 많은 OS일수록 보안 홀을 찾고자 하는 해커들의 노력은 더욱 광범위하게 진행된다. 일단 한 번 발견된 보안 홀은 몇몇 일류 해커들 사이에서만 전파되면서 좀비 피씨를 양산하는 데에 사용된다

그러면 이런 보안 홀을 막는 OS의 기술지원팀의 엔지니어들은 쟤들이 요즘 어떤 보안 홀을 이용하는 가를 최대한 빨리 캐치해서 이걸 틀어막은 다음에 OS의 패치파일, 업그레이드 파일을 만들어 세계적으로 배포한다. 윈도우 XP 에서도 알게 모르게 이런 업데이트가 수시로 벌어져 왔다는 것이다. 돈도 한 푼 안 생기면서 꾸준히 이런 보안패치 작업에 투입되었던 기술자들과 그 기술자들에게 월급을 지불한 MS에 경의를 표하는 바이다.

그러나 그 짓을 무한히 할 수는 없다. 결국 이번 2014년 4월 8일에 중단하겠다고 MS가 발표한 내용이 바로 이 짓을 그만두겠다는 얘기인 것이다. 이거 하던 엔지니어들을 빼서 다른 곳에 투입하겠다는 의미인 것이다. 힘의 균형이 깨져 버린다.

이제는 XP에서 추가적으로 발견된 보안 홀이 영원히 수정되지 않고 남아 있게 된다. 백신? 파이어 월? 그런 걸로 막을 도리가 없다. OS 차원으로 존재하는 보안 홀을 백신이 막을 수는 없다. 조만간 유명한 보안 홀이 하나 발견되면(어쩌면 이미 있을지도 모른다) XP는 아무리 관리를 잘해도 설치하는 순간 이미 당신의 피씨가 아니라 해커의 장난감, 좀비 피씨가 되는 운명에서 벗어날 수 없게 된다.

이런 상태에서 XP를 계속 써도 되냐고? 지금 농담하시는가~

좀비 피씨의 문제

통계에 의하면 전세계에서 좀비 피씨가 가장 많이 서식하는 국가가 우리나라라고 한다. 심한 통계에 의하면 전세계 좀비 피씨의 80% 정도가 우리나라에 있다고 한다.

피씨의 보급율은 세계적인 수준이고 인터넷 망은 세계 최강의 수준이다. 고급 좀비 피씨가 될 만한 후보자들이 가장 많은 곳이 우리나라이다. 중국이 인구가 많아 봐야 피씨 보급율도 그리 높지 않고 인터넷은 더욱 열악하다. 중국은 해커들의 천국이지만, 정작 중국의 해커들은 대한민국의 피씨를 노린다. 손쉽게 유출되는 개인정보는 덤이다.

거기다가 피씨 사용 문화나 보안 의식 같은 것은 바닥이다. 기술적인 이해 수준도 그리 높지 않다. 아예 그런 교육의 기회 자체가 별로 없다. 특히나 업체의 결정권자들, 사장님이나 부장님들은 피씨 없이 업무 처리하던 세대들이다. 피씨는 폼이라고 생각을 한다. 그러니 피씨도 폼인데, 거기다가 보안 업무에 돈을 또 써야 된다고? 차라리 피씨를 쓰지 말아야겠다고 생각하는 사람들도 많을 것이다. 마인드 자체가 낙후한 것이다. 결정권자의 마인드가 낙후하면 해당 부서에 예산이 줄어들고, 예산이 없으면 보안 조치를 취할래야 취할 도리가 없다.

대부분의 기업에 있는 전산실은 그저 사람들에게 키보드나 마우스 같은 소모품이나 지급하고 망가지면 OS나 새로 깔아주는 일만하고 실제 개발 작업 등의 중요한 일은 몽땅 외주로 돌린다. 그런 상황이니 능력있고 기술있는 직원들이 회사에 남아 있을 도리가 없다. 그저 줄 잡고 들어온 전산실장과 그의 동료들만 살아 남는다. 외주업체들은 또 외주 업체대로 보안은 나몰라라 하기 마련이다. 뚫리면 내가 뚫리나~ 내가 책임질 일도 아닌데 뭘~ 이런 식이다. 또 막상 뚫려서 심각한 사고가 나고, 새로운 발주가 시작되면 돈을 더 벌 수 있는 찬스가 오는 건데 뭐하러 요청하지도 않는 보안 업무에 신경을 쓰겠는가 말이다.

이러니 좀비피씨가 양산될 수 밖에 없다.

물론 이렇게 좀비 피씨가 되어도 사용자들은 눈치를 못 채는 경우가 많다. 사용자가 눈치를 못 채야 자신들이 쓰고 싶을 때 와서 쓸 수 있으므로 해커들은 가급적 사용자가 눈치를 채지 못하도록 관리를 한다.

그리고 이렇게 관리를 하다가 적절한 때가 오면, 껀수가 생기면 좀비 피씨들을 총동원해서 작업에 들어간다. 바로 대규모 DDOs 공격이다. 해커는 자신이 관리하던 좀비 피씨들을 총동원해서 특정 사이트에 무한히 접속을 반복하거나 무의미한 데이터를 마구 보내거나 하게 된다. 이렇게 동원할 수 있는 좀비 피씨를 많이 거느린 해커일수록 비싼 돈을 받고 DDOS 공격을 해 준다.

즉, 좀비 피씨의 보유량은 바로 그 해커의 능력을 상징하는 것이며, 그 해커가 받을 수 있는 돈에 비례하기 마련이다. 따라서 좀비 피씨의 확보 전쟁은 생각보다 매우 치열해지기 마련이다.

이런 DDOS 전쟁이 수시로 벌어지는 동네가 불법 도박 사이트나 포르노 사이트들이다. 이런 곳은 경쟁 사이트를 죽이기 위해 돈을 주고 저 사이트 좀 한 며칠 죽여달라고 요청하는 경우가 비일비재하다. 이런 행위 자체가 형사적으로 불법이지만, 그들은 이미 사이트의 존재 자체가 불법인 경우다. 동남아에 설치된 서버에서 서비스하는 도박 사이트들 말이다. 딴지일보하고 친해서 맨날 게시판을 광고로 도배하는 인간들도 바로 이 부류다.

한 때 딴지일보 사이트도 이런 놈들에게 수시로 DDOS공격을 당했었다. 물론 요즘에는 기술이 발전해서 ISP 차원에서 막아주기도 하고 뭐 그렇다. 이 동네, 진짜 총알만 안 날라 다니지 완전히 전쟁터이다. 소리없는 아우성이 벌어지는 곳이다.

흑역사

심지어 집권 여당의 보좌관이 이런 놈들에게 돈을 주고, 무려 헌법기관인 선관위 사이트를 상대로 DDOS 공격을 해 달라고 요청하는 곳이 우리나라다. 그런 상황에 자신의 피씨가 동참하는 상황, 그런 상황을 그대로 내버려둬도 된다고 생각하시는가?

XP를 계속 쓰게 되면 그렇게 되는 거다.

답은 간단하다. 인터넷에 연결하지 않고 쓸 생각이라면 계속 써도 된다. 아니라면 절대 안 된다. 왜냐면 당신만 피해를 보는 게 아니라, 당신의 피씨와 당신의 인터넷 연결을 통해 다른 시스템을 공격하는 도구로 사용될 수 있기 때문이다. 극단적으로 표현하자면, 당신이 인터넷에 연결된 피씨에 XP를 설치하는 순간 당신은 범죄의 도구를 제공하는 공범이 된다는 것이다.

물론 그런 범죄의 도구 말고도 당신이 당신의 피씨에 공인인증서를 넣어 둔다거나 전자 상거래를 한다거나 하면 당신의 은행 계좌를 해커들에게 그냥 알려주는 셈이 되기도 한다. 돈이 살금살금 빠져나갈 수도 있다. 당신의 명의로 해외 쇼핑몰에서 뭔가가 구매될 수도 있다. 포르노 사이트에 접속하는 아이디를 당신의 인적사항을 이용해서 만들어 버릴 수도 있다. 나중에 적발되어 크게 창피를 당하게 될지도 모른다. 만약 돈까지 잃어버리게 된다면 창피 따위는 문제도 아닐 수도 있다.

이래도 XP를 계속 쓰겠다고 할 수 있는가? 돈 몇 푼이 아까워서 OS 업그레이드 안하고 XP를 계속 쓰라고 지시하는 사장님이 있는 회사에 다니시는 분들, 사장님께 진지하게 조언을 하고 그래도 못 알아들으면 회사를 그만두는 것을 심각하게 고려하시라. 아니면 회사 피씨로는 그냥 별 거 없는 워드작업만 하시고, 인터넷에 연결되는 모든 작업은 별도의 개인 피씨에 다른 OS 설치해서 사용하시라.

당할 것을 뻔히 알면서도 대비하지 않는 것은 범죄행위일 뿐이다.

다음편 예고

그렇다면, 대비는 어찌해야 하는가? XP를 버리면 어디로 가야 하는가? OS를 바꾼다는 것은 어떤 문제를 유발하는가? 다른 나라 사람들은 도대체 어떻게 했길래 이런 큰 문제가 생기지 않는다는 말인가?

결코 쉽지 않은 문제이다. 애초에 도대체 왜 우리 사회에서는 윈도우 XP라는 단일 품종의 OS를 이렇게나 많이 쓰게 되었는가 하는 것부터 문제가 된다.

물론 지금까지 그랬다 하더라도 이제라도 바꾸면 된다. XP를 계속 쓰는 것이 문제라면 윈도우 7으로 업그레이드 하면 되지 않겠는가? 어차피 그거야 돈 문제에 불과한 일이고 언제든지 써야 할 돈 아니었는가 말이다. 문제가 그렇게 단순하지가 않다. 그냥 업그레이드만 하면 아무 문제 없을 일이라면, 이렇게 사회 전체가, 정부 당국자들이 호들갑을 떨 일도 아니었다.

개인들의 입장에서야 그저 윈도우 7 라이센스 사서 업그레이드 하면 그 뿐이다. 그걸로 만사 해결된다. 사용법이 좀 다르긴 하겠지만 윈도우 XP에 적응한 사람이 7에 적응하는 것은 일도 아니다. 또 맥 OS로 옮겨도 되고 리눅스 집단으로 옮겨도 된다. 우분투 같은 것은 상당히 많이 좋아졌다.

그러나 사회적으로는 무척 힘들다. 돈 문제 뿐이 아니다. 물론 돈을 많이 들이면 다 해결될 문제이긴 하다. 하지만 단순하게 윈도우 7 라이센스만 대량으로 산다고 해결될 문제가 아니라는 얘기이다. 왜 그럴까?

왜 이런 문제가 발생했고, 그 문제의 해결책은 뭔지, 이런 문제들이 가진 본질적인 핵심은 무엇인지에 대한 이야기를 해 보도록 하자.

이야기는 다음 회에 계속될 것이다.

To be continued...

물뚝심송

트위터 : @murutukus

편집 : 홀짝